早在幾年前,就有補丁允許 Linux x86_64 內核構建為位置獨立可執行 (PIE) 代碼,以進一步增強系統安全性。 Antgroup 工程師最近一直在解決 Linux x86_64 PIE 支持問題,上週發布了一個新的補丁系列。
基於幾年前的 Linux PIE 補丁,Hou Wenlong 和 Antgroup 發布了允許 Linux x86_64 PIE 構建的更新補丁:
“這些補丁進行了構建所需的更改內核作為 x86_64 上的位置獨立可執行文件 (PIE)。PIE 內核可以重定位到虛擬地址空間的前 2G 以下。此補丁集提供了一個示例,允許內核映像重定位到地址空間的前 512G。
PIE內核的最終目的是增加內核的安全性以及內核映像虛擬地址的[靈活性],甚至可以在地址空間的低半部分。內核可以容納更多位置,這意味著攻擊者可能會猜得更難。
補丁集基於 Thomas Garnier 的 X86 PIE 補丁集 v6 和 v11。但是,通過使用不同的配置和編譯器進行測試,進行了一些設計更改並修復了一些錯誤。”
製作 Linux 時內核位置無關的可執行文件增強了系統安全性,缺點是可能會有更大的內核映像和稍高的指令數,這可能會影響性能。
那些有興趣了解更多關於 Linux x86_64 PIE 支持的新功能的人可以查看 此補丁系列目前帶有“徵求意見”標籤。